iLaw
编者按:为保护用户个人信息,尤其是敏感个人信息,以及增强公司和用户之间的信任,开展PIA工作已成为现代企业数字化发展中隐私保护工作的重要手段。随着业务场景的不断增加和复杂化,各个企业不断提升合规意识,主动对自身进行评估,以此关注企业重点风险。通过进行“因企制宜”的PIA评估来制定相应的防护策略,保证自身业务开展的合规性,已经成为了企业数据合规工作中的“标准动作”。但由于各企业的业务场景不一,不同企业会因为各自的企业规模和管理方式的差异,影响PIA评估实施方式。在不同场景下如何让PIA评估“因企制宜”满足管理、监管诉求成为企业需要思考的问题。本文将针对上述问题展开,为读者提供实用性的建议。
✨温馨提示:
1.文末附「《 个人信息保护合规指引》(近250页)&22项个人信息保护规范、模板大合集」,全面且系统,如有需要,可自行获取!
2.如有需要金诚同达彭凯律师0427直播精彩回放与课件的可以扫码咨询圈圈!
3.由于微信更改订阅规则,如果大家喜欢iLaw合规的内容,记得星标🌟「iLaw合规」公众号,避免错过未来的精彩内容~
作者:彭凯
单位:金诚同达律师事务所
微信号:plucky0810
一
开展PIA工作的监管要求及制度体系
(一)PIA简述
1、是什么
PIA(Privacy Impact Assessment,另一种缩略语为PIPIA,Personal Information Protection Impact Assessment)对应的中文表述为“个人信息保护影响评估”,是指《中华人民共和国个人信息保护法》(下称“个保法”)规定的,在特定情形下需要由个人信息处理者开展的评估。
2、何时要做
PIA是在特定情形触发的个人信息处理活动开展前进行的事前评估。作为一种合规工具,PIA在企业侧有着很重要的影响。
3、为什么要做
PIA是个保法和个人信息出境规制下个人信息处理者的法定义务。所有被大陆个保法纳入规制的个人信息处理者,都必须承担包括员工劳动个人信息、用户个人信息等的PIA工作开展;针对个人信息出境情形(以SCC备案路径为典型),也必须有PIA,且该等场景触发的PIA相对于个保法增加了更多评价的维度。
(二)开展PIA工作的实施要点
1、交付一个报告足够吗?
在个保影响评估报告之外还需要有对应的处理情况记录。为了得出这个报告,企业还会有一些其他的评估流程,也就会有相应的评估过程留痕。有些企业会自上而下从制度侧开始把PIA的流程在企业侧进行制度化。此外,还需要在报告之外对处理情况进行记录,个保法中规定要求保存至少3年,包括按照这份报告里面所去调研获得的或者实际评估的处理方式、实际的处理活动怎么开展等,都要有对应一个处理记录,而这个记录同样也是需要至少保存3年。
2、有没有操作指引?
目前比较常作为参考的是个人信息安全影响评估指南(GB/T 39335),个人信息出境场景则另有出境规制相关指南参考(如SCC备案指南、个人信息跨境处理认证指南等)。就GB/T 39335而言,即使其中不少内容并不会在实践中被完全运用,但GB/T 39335所划定的一些基础底层评估逻辑、维度等,比如横纵轴形态的合规影响评价和安全影响评价这样的评估方法、比如PIA开展的流程方面的参考、比如特定触发场景的评价维度参考等,这些都可以作为重要参考被实务开展所吸收、借鉴。
二
重要场景下个人信息保护影响评估的实施路径
(一) 具体的实施流程
1、各不相同
企业侧的人员配置、部门设置以及不同部门的侧重都会导致PIA流程的不同。
2、经典的合规四步走策略(仅作参考,不代表通行做法)
(1)场景摸排:弄清楚到底可能会有多少场景可能会触发PIA。
(2)场景筛选:梳理并确定优先顺序,选中某个场景进行试点方案制定。
(3)方案制定:在选定的场景项下,排查清楚要求是什么、评价维度有哪些、实际的情况是什么,确定方案执行手段,比如调研、问询、访谈等,核心会包括合规表单的制作与场景适配填写等。
(4)差异分析:如果差异很大,影响到了评估结论,那就需要启动一个修正机制;如果说整体是可控的,是一个中风险,甚至是低风险,那就会导向到输出这份报告,以及按照这个报告去遵循后面3年留存和处理记录执行。
(二)企业侧哪些人员参与
1、业务、技术、合规基础三件套
评估报告中的评价尺度,涉及到安全风险的话,如评价的是敏感个人信息处理,就要去评价敏感度到底如何、有多少敏感字段、这些敏感字段有没有加密、传输保护措施之类,就会带出安全侧的、技术侧的一些内容。此外,评价维度还包括所采取的保护措施是否合法有效并与风险程度相适应。保护措施里面有技术措施,用了哪些加密手段,安防做得如何等等,这些其实都是技术侧的内容。业务人员的参与更多是在不同的业务场景中面临信息处理的活动,进而触发了PIA合规义务,需要业务人员启动PIA程序,填报背景情况。而合规人员则负责PIA中的合规侧评价,包括法定义务履行情况、对个人权益影响等的评价。可以说,基础三件套,涵盖了技术、业务、合规三类人员,缺一不可,各有分工,略有交叉。
2、外部顾问聘请与否取决于预算情况
企业在进行PIA工作时,既可以通过自己的内部团队以及符合自身企业情况的制度体系完成这项合规义务,也可以委托外部的顾问团队进行。如何选择,要根据企业自身制度是否成熟以及预算情况来确定。
(三)最核心的工作内容
在制作PIA报告时,文本侧最核心的工作内容就是每一类触发场景对应评估表单细颗粒评价维度的设计。针对工作开展的频次,要明白场景触发不等于场场触发,复用机制很关键(可以提高效率、降低成本)。
(四)如何把握评估与业务侧的协调
不同的企业之间有着不同的合规文化与风险偏好,合规部门在进行评估时可能需要面临业务部门的对立立场引发的不理解和不支持。因此对于合规人员来说,除了高风险和明显违规的场合,在其他场合尽量不要做拦路虎。利用好PIA的设计,与业务侧做好协调,追求平衡很重要。
(五)完整评估的具体工作
1、管理制度:总领PIA工作的制度侧内容,划定参与人员组成与分工,框定PIA流程与机制。
2、场景方案:具体类型化的场景需要制定不同的场景方案。
3、评估表单:在某个具体的场景评估中,叠加相应的实际业务活动,在特定的评价维度下形成评估表单并进完成表单填具与评价。
4、报告记录:基于上述评估工作,得到PIA报告,执行处理并记录,并将报告和记录至少留存三年。
三
如何让PIA评估“因企制宜”满足管理、监管诉求?
(一)评估结果的模型自己构建
进行PIA工作之后,如何得出最后的结论,从而在不同评价维度之间综合得到一个结果,需要企业根据自身情况构建。如何分配各个维度的比重可以自己制定安排,可以是权重打分制,也可以可以根据木桶原理就低值等,没有固定和法定做法。
在合规实践中,企业侧的合规推进速度整体较慢、各成一派,但重视度在不断提升。
(二)CBDT与PIA
个人信息出境安全评估中的自评估不能当然吸收掉PIA的法定义务,两者都是企业在进行合规工作时不能忽视的重要内容。可行的做法是,自评估正常做,PIA报告可从自评估内容中抽取自成一体。
(三)合法、正当、必要的范式三性评价操作
“三性评价”应该有一个以结果导向的反向评价维度设计。相当于这是一道证明题,结论已经在那里了,但是企业要怎么去设计一些更细颗粒度的待论证要点,然后得出“三性适格”的大结论。
(四)个保影响评估只是在解决个保影响评估?
PIA看似是一个单向的合规义务,因为它只见于个保法55 、56 条,企业要做的特定场景也是一个独立成体系的内容。但是在具体到这一合规义务的过程中,会发现它绝对不是一座孤岛,并且会跟很多其他的内容进行串联和互动。具体而言:
一方面,在进行PIA时企业一定会去梳理自己的业务场景,而且是具体到数据处理活动的业务场景中。这个前置工作就变成是场景梳理、个人信息处理活动排查等等,这些工作也是在解决企业很多其他个保义务落地工作中经常会前置进行的。所以它不是孤岛,它一定会有一个前置的、更通用的相关工作内容,也就是大家普遍需要要先做完的事情。
另一方面,企业做个保评估的过程中,又会发现它虽然是自成一项合规义务,但是它一定会跟很多其他的合规义务牵连在一起,比如三性评价要考量的合法性,必然会带出“告知、同意”之类的义务履行情况,所以,真正完整的PIA需要上升到制度体系层面,是整个个保体系建设工作的重要一环。
文末福利
为更切实、便利地帮助读者们开展数据合规业务,我们精心准备了《个人信息保护合规指引》(近250页),内容详实,深入解读个人信息保护与数据安全,另附22项个人信息保护规范、模板大合集,以期助力企业实务开展!
■ 直播预告
👓 你一定还想看
1. 年度合集第一弹:共同迎接2023合规新征程
2. 年度合集第二弹:以行业视角,洞察数据合规强监管态势
3. 2022年数据合规实践的继续探索——纪念《个人信息保护法》实施一周年
4. 2022全球数据合规年度大事件回顾(附下载)
5. 重磅来袭!《个人信息保护与数据合规法律汇编V3.0》
6. 企业合规管理实务要点:新《办法》、新思路
7. 企业用工合规典型场景全解——以《个人信息保护法》为视角
■
THE END.
Copyright©2022iLaw.All rights reserved.
本文正文内容由作者享有版权,除此之外的内容及配图设计为iLaw原创版权所有,任何个人或公司未经授权严禁转载使用。
如需转载请微信联络 @ilawhegui3
![获取个人信息,这些法律边界要知道![图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)